Prinzipielle Fragen zur (temporären) Nutzung von VPNs

[pstein]

Ich habe bisher noch keine VPNs genutzt will das aber jetzt mal versuchen.

Dazu aber noch ein paar prinzipielle Fragen für die ich bisher keine Antworten gefunden habe:

Wenn ich einen VPN-Client auf meinem Rechner (mit Windows 7) installiere wird dann zwangsweise
immer der ganze Internet-Traffic über das VPN geleitet?

Ich will z.B. die POP3 und SMTP Abfragen von meinem email Thunderbird Client NICHT über das VPN leiten
sondern nur den Browser-Traffic. Geht das?
Wenn ja, wie kann ich genau festlegen welcher Traffic über VPN und welcher nicht über VPN geleitet wird?

Noch eine andere ähnliche Frage: Angenommen ich entscheide mich dass temporär (nur) während der nächsten Firefox-Session aller Browser-Traffic (nur dieser) über das VPN geleitet werden soll. Dann will ich Firefox starten mit vielleicht einem Kommandozeile-Parameter in der Art:

firefox.exe -usevpn

Nach dem später Firefox-Exit und normalen restart soll dann Firefox wieder über das nicht VPN-Netz laufen.

(wie) geht das?

Peter

 

[Einhörnchen]

Wenn ich einen VPN-Client auf meinem Rechner (mit Windows 7) installiere wird dann zwangsweise
immer der ganze Internet-Traffic über das VPN geleitet?

Hängt vom verwendeten VPN-Client ab. In der Regel: Ja.

Ich will z.B. die POP3 und SMTP Abfragen von meinem email Thunderbird Client NICHT über das VPN leiten

Siehe oben. Wenn es dir aber um die Datensicherheit geht: Richte POP3 und SMTP im Thunderbird als verschlüsselte Verbindung ein.

Ich könnte mir vorstellen, dass der TOR Browser mit integriertem VPN die geeignete Lösung für dich ist. Das betrifft dann nur den TOR Browser, alles andere (Windows Updates, Microsoft Konto, E-Mail, Steam) laufen über deine normale Verbindung.

TOR Browser: https://www.torproject.org/projects/torbrowser.html.en

 

[Lawnmower]

Da Du nur den Browser Traffic über VPN leiten willst, wärs am einfachsten dort was zu verwenden und nicht für das ganze Betriebssystem, mit z.B. Opera wäre das ab Werk möglich inkl. 1 Click ein und ausschalten: https://www.opera.com/de/computer/features/free-vpn

Bei einem regulären VPN Client ist es von der Config abhängig (die wird i.d.R. vom Server gepusht) ob jeglicher Traffic oder nur Traffic zu bestimmten Netzwerken über den Tunnel geht, übersteuern kann man das bei sich mit dem route Befehl. Das ist aber nicht sonderlich stabil und auch nicht lustig wenn man da anfängt einzelne Server und Services manuell auszuschliessen.

 

[Raijin]

Ich gehe mal nur auf die Punkte ein, die noch nicht beantwortet wurden bzw. ergänze nur ein paar Details.

Ich will z.B. die POP3 und SMTP Abfragen von meinem email Thunderbird Client NICHT über das VPN leiten
sondern nur den Browser-Traffic. Geht das?
Wenn ja, wie kann ich genau festlegen welcher Traffic über VPN und welcher nicht über VPN geleitet wird?

Windows kann ausschließlich anhand der IP-Adresse des Ziels routen. Das heißt man kann höchstens eine Route hinzufügen, die ganz allgemein die IP-Adresse des POP3- bzw. SMTP-Servers durch den VPN-Tunnel routet, nicht aber explizit anhand der POP3- bzw. SMTP-Ports. Folglich müsste man beispielsweise bei mehreren eMail-Konten bei unterschiedlichen Mail-Providern (zB gmx.net und web.de) jeweils die dazugehörigen POP3- bzw- SMTP-Server ins VPN routen.

Angenommen ich entscheide mich dass temporär (nur) während der nächsten Firefox-Session aller Browser-Traffic (nur dieser) über das VPN geleitet werden soll. Dann will ich Firefox starten mit vielleicht einem Kommandozeile-Parameter

Wie stellst du dir das vor? Kommandozeilen-Parameter sind Teil des Programms. Solange du nicht den Quellcode von Firefox hast, einen Parameter reinprogrammierst und anschließend wieder eine neue .exe daraus kompilierst kannst du keine beliebigen Parameter zu einem Programm hinzufügen.... Eine VPN-Verbindung kannst du aber jederzeit temporär an- bzw. ausschalten. Je nach VPN-Client bzw. dessen Konfiguration richtet er dann alle notwendigen Routen ein und wenn du die VPN-Verbindung wieder trennst, wird alles wieder auf Anfang zurückgedreht.

Neben Browser-internen VPNs gibt es allerdings noch eine Notlösung, ForceBindIP. Das ist ein Tool mit dessen Hilfe man einzelne Anwendung einer bestimmten Netzwerkschnittstelle zuweisen kann. Das bedeutet, dass man zB den Browser hinzufügt und an die VPN-Schnittstelle bindet, während man zB den eMail-Client an die (W)LAN-Schnittstelle hängt.


Grundsätzlich eignet sich Windows aber nicht wirklich für selektives Routing, weil Routing nach Ansicht von Microsoft nicht zu den Aufgaben von Windows zählt, auch nicht Windows Server. Ein Server ist ein Server und ein Router ist ein Router, so die Argumentation von Microsoft. Deswegen fehlen Windows auch die geeigneten Mittel, beispielsweise anhand der Ports anstelle der Ziel-IP zu routen, oder auch anhand der Quell-IP anstelle der Ziel-IP. Unter Linux wäre das kein Problem, weil man anhand beliebiger Parameter routen kann, nennt sich Policy Based Routing (PBR). Daher sind so ziemlich alle Lösungen für selektives Routing unter Windows in der Regel mit einigem Aufwand verbunden, weil man beispielsweise bei ForceBindIP jede Anwendung, die zB über das VPN gehen soll, explizit angeben muss. Eine Anwendung vergessen? Pech gehabt..

 

[pstein]

Ok, danke für die bisherigen Antworten.

Jetzt vergessen wir mal das selektive Routing je nach Anwendung (Browser, eMail Client,....).

Kann man bei den bekanntesten VPN-Clients vielleicht für den gesamten Computer VPN bequem jeweils ein+ausschalten?
Ich will Gefuddelt mit route Konfigurationen vermeiden. Auch eine De-Installation des VPN-Clients soll vermieden werden wenn ich nicht mehr über VPN gehen will. Ebenso will ich im Browser nichts manuell umswitchen müssen.

Ich will irgendwo im VPN-Client oder in Win7 einen Button haben "use (for all Traffic) VPN" ON/OFF.
Dann soll automatisch (!) die Netzwerkkonfiguration umgestellt werden.

Geht das?

 

[Lawnmower]

Mit dem OpenVPN Client geht das simpel: Connect/Disconnect direkt per Symbol in der Taskbar per rechten Maustaste. Brauchst aber natürlich eine entsprechende Gegenstelle / Server.

 

[Raijin]

Jupp, geht ganz easy wie Lawnmower schon geschrieben hat. Wichtig ist allerdings, dass in der Konfigurations-Datei der VPN-Verbindung der Eintrag "redirect-gateway def1" steht, sonst wird der VPN-Client das Standard-Gateway auch nicht umstellen. Normalerweise ist das aber bereits aktiviert, wenn man sich von einem VPN-Anbieter die fertige Client-Config runterlädt bzw. der Server macht das automatisch (Stichwort: push).

Ein VPN-Tunnel ist nämlich nichts anderes als ein virtuelles Netzwerkkabel. Hat ein PC hinten beispielsweise 2 LAN-Ports, kann man auch nicht einfach jeweils ein Kabel reinstecken und alles funktioniert. Das Routing muss so oder so angepasst werden, aber das geschieht wie gesagt automatisch im Hintergrund.

OpenVPN-Client --> Connect --> Gateway wird umgestellt und man surft via VPN.